クロスサイトスクリプティング(XSS)とは、「クロスサイトスクリプティング(英: cross site scripting)とは、Webアプリケーションの脆弱性[1]もしくはそれを利用した攻撃。」(wikipediaより引用)のことです。
(上記画像、クロスサイトスクリプティングとは?仕組みと事例から考える対策 より引用↑)
例えば、webサイトに検索フォームなどのユーザーが入力できる箇所があると、XSS攻撃される可能性があります。
過去にはTwitterでもXSS攻撃による被害を受けていたようです↓
XSS攻撃による被害は数えきれないほど報告されています。小さな企業のサイトを狙ったものだけでなく、世界中を巻き込んだ大ニュースになったものもあります。
その1つが数年前にTwitter上で展開されたXSS攻撃です。この攻撃では、Twitterのタイムライン上に罠が仕掛けられ、ユーザーは該当のツィートをマウスオーバーしただけで、埋め込まれたスクリプトが実行されてしまう状態でした。そしてこのスクリプトが実行されると、スクリプトが埋め込まれた(罠が仕掛けられた)ツィートを勝手にリツィートしまい、それがフォロワーに広がりました。
クロスサイトスクリプティングとは?仕組みと事例から考える対策 より引用
当サイトはワードプレスによって構築されていますが、XSS対策されているかどうか気になり検証することにしました。
ワードプレスで、クロスサイトスクリプティング(XSS)対策されているか検証してみた
当サイトの検索フォームがxss対策されているか検証してみます。
(当サイトの検索フォーム)
以下のコードを入力します↓
<a href=javascript:alert(“XSS”);>XSS検証</a>入力後にアラートが表示されれば、XSSがあるということになると思います。
検索結果画面は以下のようになりました↓
(検索結果画面)
アラートが出ない = XSSは無い!!
ということがわかりました。
プログラミング初心者による検証なので、もし間違いがあればご指摘いただければ幸いです。
コメント